Вредонос из npm под видом WhatsApp API загрузили 56 тысяч раз

Специалисты по кибербезопасности обнаружили вредоносный пакет в репозитории npm. Он называется lotusbail и работает как API для WhatsApp (принадлежит Meta, которая признана в РФ экстремистской и запрещена), но на самом деле перехватывает сообщения и привязывает устройство злоумышленника к аккаунту жертвы. В период с мая 2025 года пакет загрузили 56 тысяч раз. С 16 декабря произошло 711 загрузок, и библиотека всё ещё доступна.

Исследователи из Koi Security описали принцип работы. Программа ворует учётные данные мессенджера, перехватывает сообщения, собирает контакты, ставит бэкдор и шифрует всё перед отправкой на сервер атакующего. Пакет перехватывает токены аутентификации, ключи сессий, историю сообщений, контакты с номерами, медиафайлы и документы. Библиотека создана на основе легитимного проекта @whiskeysockets/baileys, где взяли легитимный код и обернули во вредоносную логику.

Пакет создаёт постоянный доступ к аккаунту через подмену привязки устройства. Разработчик привязывает не только своё приложение, но и устройство злоумышленника. Атакующие получают полный доступ, о чём жертва не догадывается.

Доступ сохраняется даже после удаления пакета. Устройство атакующего остаётся привязанным, пока пользователь не отвяжет его вручную через настройки. Даже при удалении библиотеки бэкдор остаётся.

Специалисты Kaspersky пояснили, что вредонос запускается, когда разработчик использует библиотеку для подключения к мессенджеру. Программа оборачивает WebSocket-клиент, после аутентификации активируется перехват. Специальных функций не требуется.

Пакет оснащён защитой от отладки. При обнаружении дебаггеров входит в бесконечный цикл и зависает. Представители Koi отметили, что атаки на цепочки поставок становятся совершеннее. Традиционные средства защиты не выявляют такие угрозы. Статический анализ видит рабочий код и одобряет. Системы репутации фиксируют 56 тысяч загрузок и доверяют.